Plan de Continuité et de Reprise d'Activité
Les Plans de Reprise d’Activité (on parle également de Plan de Reprise Informatique ou PRI) et les plans de Continuité d’Activité (on parle également de plan de Continuité Informatique ou PCI) sont souvent au cœur des grandes entreprises mais inconnus ou sous-estimés par les PME et les administrations locales.
Le système d’information est une composante majeure et désormais indispensable au niveau des entreprises, des administrations et des collectivités. Il devient indispensable d’assurer dans la mesure du possible la continuité des services et à minima de garantir la possibilité de redémarrer l’activité dans les meilleurs délais. Toute interruption de services va générer des coûts : charges salariales non productives, pertes de chiffre d’affaires, pertes de marchandises, image de marque, mécontentement des clients ou fournisseurs.
Quels coûts en cas de sinistre et donc quel investissement pouvez-vous consacrer au projet ? Un arrêt total de votre SI est-il envisageable pendant 4 minutes, 4 heures , 4 Jours ou pas du tout.
Je vous accompagne dans l’analyse des besoins, la définition des indicateurs, la conception et la mise en place de votre PRA ou PCA qui va vous permettre de reprendre ou de maintenir votre activité en cas de sinistre.
PCA-PRA
On peut considérer que la mise en place d’un PRA ou d’un PCA est une assurance pour le rédémarrage ou la poursuite de l'activité.
La mise en place d’un PRA et d’un PCA s’accompagne en amont d’un inventaire des éléments critiques nécessaires à l’entreprise et à sa pérennité.
Au niveau infrastructure, la base du PCA/PRA va reposer sur la sécurisation électrique, le doublement des éléments périphériques (cluster d’éléments, par exemple, routage redondé, routeurs MPLS Nominal Secours, Firewall Actif-Actif/Passif, Cœur de réseau en stack, liaison Internet Fibre secourue par une liaison ADSL/4G.
A ce niveau, on va distinguer deux indicateurs que toute entreprise doit évaluer pour chaque composant important : le RTO et le RPO. Ces deux indicateurs vont déterminer le besoin d’un PRA qui permet d’assurer la reprise de l’activité en mode dégradé ou global à la suite d’un sinistre ou d’un PCA qui va permettre s’assurer la continuité des activités de l’entreprise sans rupture d’exploitation et sans perte de données
RTO
Le RTO ou Recovery Time Objective est le temps maximal d’interruption que l’on peut accepter sans fonctionnement pour donner suite à un incident majeur au niveau informatique.
Ma salle informatique a subi une inondation, le service ne peut plus être assuré. Les sauvegardes de la veille sont stockées ailleurs et on suppose qu’elles sont vérifiées régulièrement. La société de services m’annonce un délai réduit de 4 jours au minimum remettre l’informatique en fonction. Est-ce acceptable sachant que 30 ou 300 personnes seront au chômage technique et que je ne peux pas continuer mon activité ?
RPO
Le RPO ou Recovery Point Objective est le temps maximal pendant lequel on accepte de perdre des données.
Une partie de ma baie de stockage a été détruite car deux disques sont tombés en panne dans mon groupe RAID 5 à quelques dizaines de minutes d’intervalle. Si le sinistre survient à Midi et que mes sauvegardes datent de la nuit, j’ai perdu 4 ou 5 heures de données. Est-ce acceptable ?
PCA
Au niveau serveurs et stockage, le PCA va permettre la réplication synchrone (en temps réel) des données entre deux systèmes de stockage situés de manière optimale dans deux salles/bâtiments distincts.
Les serveurs sont situés dans les deux salles mais reliés aux deux systèmes de stockage vu comme un seul (pour le serveur, il voit un seul système de stockage avec deux chemins). En cas de destruction d’une salle ou simplement d’une maintenance du système de stockage d’une salle, les serveurs accèdent au stockage de l’autre salle qui elle continue à fonctionner normalement. Datacore SAN Symphony est un des leaders de ce type de technologie. Un PCA dans la même salle permet de sécuriser le stockage et les serveurs et faciliter les mises à jour, mais dans ce cas, la destruction complète de la salle n’est donc pas couverte.
PRA
Un PRA consiste à répliquer de manière asynchrone les données en local vers une autre salle ou vers un Datacenter ou le Cloud (cloud hybride). Le PRA va imposer la mise à disposition de stockage et de serveurs qui par définition sont non actifs et ne servent pas sauf lors d’un éventuel déclenchement du PRA.
Le déclenchement d’un PRA et l’éventuel retour arrière ne se font pas non plus d’une manière immédiate. Il est nécessaire d’évaluer la pertinence de ce déclenchement.
Est-ce que le problème de la salle principale peut être résolu rapidement ou pas (panne serveur/ stockage ou destruction) car le déclenchement du PRA va imposer des contraintes et des interventions expertes, et ne peut être engagé de manière non réfléchie.
